入侵检测系统

入侵检测系统用于检测试图潜入网络破坏某台计算机的安全和信任的恶意行为系统。这些恶意行为包括对具有安全漏洞的服务的网络攻击、对应用程序的数据驱动攻击、基于主机的攻击(如升级权限、未经授权的登录和访问敏感文件)以及恶意软件(病毒、木马和蠕虫)。一旦进入网络，病毒或感染可能会在网络上活跃数周，然后发起恶意攻击。

分为两类:1。信息来源:基于主机的IDS和基于网络的IDS。2.检测方法一:异常入侵-1/和误用入侵-1/。入侵检测系统(简称入侵检测系统)是一种对网络传输进行即时监控，并在发现可疑传输时发出警报或采取主动应对措施的网络安全设备。IDS与其他网络安全设备的区别在于，IDS是一种主动的安全防护技术。

80年代中期，IDS逐渐发展成为入侵检测expert系统(IDES)。1990年，IDS分为基于网络的IDS和基于主机的IDS。然后分布式id出现了。目前IDS发展迅速，已经有人宣称IDS可以完全取代防火墙。扩展数据:对IDS的要求:IDS应该附加到所有相关流量必须流经的链路上。这里的关注流量是指需要统计和监控的来自高风险网络区域的访问流量和网络消息。

根据其采用的技术，可分为异常检测和特征检测。(1)异常检测:异常检测的假设是入侵对正常受试者的活动是异常的，建立一个正常活动的“活动剖面图”。如果当前主体的活动违反了其统计规律，则可能被认为是“”。通过检测系统(2)Features检测:Features检测Hypothesis入侵的行为或用法的变化，可以将活动表现为一种模式。

根据被监控对象是主机还是网络，基于网络分为入侵-1系统和入侵-2/两种。(1)Host-based入侵检测系统:通过监控分析host 检测 入侵的审计记录。能否及时收集审计是这些系统的弱点之一，而入侵会以主机审计sub 系统为攻击目标来规避入侵检测。(2)网基入侵检测系统:网基入侵系统通

指入侵defense系统。IPS是英文“IntrusionPreventionSystem”的缩写，中文意思是入侵defense系统。IDS(入侵检测系统):入侵检测系统，是被动的，通过监控网络或系统资源寻找违反安全策略的行为或攻击。IPS(入侵防御系统):入侵Defense系统，它是主动的，直接嵌入到网络流量中，通过一个网络端口接收外部流量，经检查确认不含异常活动或可疑内容后，再通过另一个端口系统，转发到内部。

入侵检测顾名思义就是入侵行为的发现。入侵 检测系统(入侵检测系统，IDS)是能够完成入侵检测各项功能的计算机软硬件。它收集并分析计算机网络或计算机系统中的一些关键点，找出网络或计算机系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测Technology从计算机中的几个节点获取不同的信息系统，然后对数据进行分析，判断是否存在违反安全策略的行为，从而对这些行为进行不同程度的报警。

由于攻击可以从外网发起，也可以从内部发起，还包括合法内部人员误操作导致的虚假攻击。入侵 检测将从以上三个方面进行分析，如果发现网络受到攻击，那么该行为将被相应地处理。入侵 检测技术在监控网络的同时，对网络性能的影响很小，入侵 检测的技术可以简单的理解为一个经验丰富的网络侦查员，他的任务是对系统中的可疑信息进行分析并做出相应的处理。